将密码与随机盐进行比较

Question

我有 ac# 应用程序，我正在尝试使用 php 和 mysql 编写一个基本的登录表单来存储密码。

我使用 SHA512 + 随机盐来存储密码，因此目前我正在对密码执行此操作。

哈希（密码+随机Salt）+随机Salt；

因此，盐会附加到哈希值中，然后发送到服务器并存储。

现在我的问题是比较某人尝试登录的时间。用户不知道盐，而且我不想将纯文本密码发送到服务器，所以我有点卡住了。

我应该加密密码并将其发送到服务器，让服务器向用户发送盐还是有更好的方法来实现这一点？

我只是想确保创建帐户密码的任何人都具有一定的安全性。

提前致谢

Answer 1

一般来说，您应该将散列密码和随机盐值存储在数据库中。

当用户进行身份验证时，他或她的用户名和密码将被发送到服务器（最好通过 SSL 安全连接）。从那里，您使用用户名从数据库中检索盐值和散列密码以进行比较。

最重要的是，您永远不应该存储纯文本密码或通过不安全的连接发送它们。

有关详细信息，请参阅密码哈希、加盐和哈希值存储信息。

Answer 2

这几乎是不可能的。正如 Derek 所说，正确的做法是获取 SSL 证书并通过该证书发送纯文本密码。

加盐是为了防止被盗的密码数据库泄露每个人的密码。但如果哈希步骤在客户端完成，则数据库中的值就是通过网络发送的确切字符串。

如果您确实无法使用 SSL，http://en.wikipedia.org/wiki/Challenge- response_authentication#Cryptographic_techniques 描述了一种避免发送密码（或哈希值，几乎相同）的方法。